Candia come mai questo fermento da parte delle aziende intorno alla Privacy?
Le aziende si stanno attivando poiché dal 25 Maggio 2018 entrerà in vigore la nuova normativa europea sulla Privacy 2016/679 – Regolamento generale sulla protezione dei dati personali – che uniformerà la normativa per ogni Stato aderente alla UE. Provvedimento, che si è visto necessario per regolamentare i fenomeni digitali dettati dalle nuove tecnologie, in primis rappresentate dalla diffusione dei servizi digitali innovativi come i metadati e il cloud computing.  Il GDPR (General Data Protection Regulation) nasce con la ratio di cercare di arginare il fenomeno della profilazione e dell’eventuale trattamento improprio dei dati che quotidianamente viene effettuata dalle Big Data (Google, Facebook, WhatsApp, Telegram, Instagram, ecc). Quando navighiamo sui siti web, sui social o utilizziamo le app, lasciamo infatti delle tracce digitali che indicano i nostri “gusti”, le nostre preferenze, la nostra posizione, i nostri “orientamenti”.

Che novità apporterà il nuovo regolamento?
Novità di vario genere. In particolare a carico delle aziende vi saranno nuovi adempimenti. Gli enti pubblici, le aziende e numerosi soggetti privati che trattano “dati sensibili” (il Regolamento UE li definisce “particolari”) dovranno infatti nominare (sempre entro il 25 maggio) una nuova figura, il Responsabile della Protezione dei Dati (RPD) o in termini anglosassoni Data Protection Officier (DPO). Nuova figura a cui corrisponde una nuova professionalità in grado di garantire criteri di competenza, ed esperienza maturata sul campo, che potrà dare pareri e sarà il naturale interlocutore tra il Titolare del Trattamento (Responsabile Legale dell’Azienda) e l’Autorità Garante.

In cosa consistono i “dati sensibili”?
I “dati sensibili” sono i dati afferenti l’origine razziale o etnica, lo stato di salute, la vita sessuale, le opinioni politiche (l’appartenenza a un dato partito), l’appartenenza a un sindacato, le professioni di fede o filosofiche, dati biometrici (impronte digitali e fisionomia del viso, timbro vocale), dati genetici (indagini genetiche), categorie protette (dati relativi alla disabilità), intesi a identificare in modo univoco una persona fisica.

Che compito hanno le aziende che trattano “dati sensibili”?
Dovranno effettuare una Valutazione di Impatto sulla tipologia di effetti che il trattamento dei dati può produrre e per far ciò il Titolare si dovrà avvalere del Responsabile della Protezione dei Dati e delle Aziende che curano l’ITC (Information e Comunication Tecnology).

Può spiegare meglio?
Certamente. Una Valutazione di Impatto consiste in una procedura finalizzata a descrivere il trattamento, valutarne necessità e proporzionalità, e facilitare la gestione dei rischi per i diritti e le libertà delle persone fisiche derivanti dal trattamento dei loro dati personali.

Vi sono altri obblighi a carico delle aziende?
Sì, la notifica al Garante Privacy in caso di Data Breach (Accesso abusivo al Sistema Informatico – art. 33 GDPR) in caso di violazione di dati sensibili. Questo adempimento già era vigente ma solo a carico delle aziende che forniscono servizi di comunicazione elettronica. A cambiare sarà inoltre l’informativa che i titolari dovranno fornire agli interessati.

Di che si tratta?
Tale informativa dovrà indicare, tra le varie, a chi vengono trasferiti/comunicati i dati, eventuali trasferimenti di dati a paesi terzi (extra europei), la base giuridica del trattamento, (quindi, le condizioni di liceità su cui il trattamento si basa: consenso, interesse legittimo del terzo, interesse pubblico, ecc.) e le finalità (ovvero lo scopo della raccolta o dell’elaborazione dei dati), il periodo temporale di conservazione, i dati del Responsabile della protezione dei dati.

Chi non desidera comparire in alcun database, può chiedere la cancellazione dei propri dati?
Sì. E’ stato infatti istituito un nuovo principio: il “Diritto all’Oblio”, ossia la possibilità di essere deindicizzati (cancellati) da tutti i motori di ricerca e da tutti i correlati collegamenti.

Come avviene nello specifico tale procedura? A chi domandare? Chi risponde?
Si effettua la ricerca al motore di ricerca, ad es. Google, il quale deve deindicizzare il dato. Non solo, anche i dati correlati, ossia i dati presenti nei siti collegati. Nel caso in cui non si abbia riscontro, si può procedere segnalando il caso all’Autorità Garante della Privacy.

Tutto ciò prevede un costo?
No, essendo un diritto.

Sono previste sanzioni per chi non si adegua al nuovo regolamento?
L’Autorità Garante della Privacy potrà sanzionare gli autori di violazioni della nuova disciplina privacy europea con sanzioni amministrative che prevedono pagamenti di somme dal 2% al 4% del fatturato globale o da € 10 Milioni a € 20 Milioni (cfr. art 83 segg.). Ovviamente le imprese, per evitare le sanzioni, dovranno dimostrate di aver fatto tutto il possibile per evitare la perdita dei dati e l’eventuale danno arrecato adottando i cosiddetti principi di accountability.

(Leggi anche Dati personali, accuse a Facebook e a Cambridge Analytica)